Anslut Australiens obligatoriska finansförordning med ISO 27001
CPS 234 är en informationssäkerhetsförordning utfärdad av Australian Prudential Regulation Authority (APRA) för försäkrings- och finansiella organisationer för att skydda mot cyberattacker.
Smakämnen Australian Prudential Regulation Authority (APRA) grundades 1998 av den australiensiska regeringen.
APRA övervakar privata sjukförsäkringsbolag, allmänna försäkringsbolag och livförsäkringar, pensionsfonder, vänliga föreningar, återförsäkringsbolag och finansiella institutioner som har tillstånd att ta insättningar som byggnadsföreningar, banker och kreditföreningar.
CPS 234 är en informationssäkerhetsförordning som först utfärdades av APRA den 1 juli 2019. Förordningen är utformad för att hjälpa organisationer att skydda sig själva och sina kunder från cyberattacker genom att stärka deras ramverk för informationssäkerhet.
CPS 234 fastställer krav kring identifiering och klassificering av informationstillgångar, roller och ansvar för informationssäkerhet, implementering och testning av informationssäkerhetskontroller, incidenthantering, internrevision och intrångsmeddelande.
CPS 234 föreskriver att reglerade enheter måste upprätthålla informationssäkerhetssystem och praxis som är adekvata för de hot de står inför.
Finansiella institutioner är ett populärt mål för cyberattacker eftersom de håller personlig identifierbar information (PII) och skyddad hälsoinformation (PHI) av australiensiska invånare.
APRA-reglerade enheter måste följa CPS 234. Standarden faller under följande lagar:
CPS 234 täcker alla APRA-reglerade enheter, såsom:
Enheter som nämns ovan har viktig personlig identifierbar information och skyddad hälsoinformation som cyberattacker skulle riktas mot under en attack.
Enligt CPS 234 har du krav på informationssäkerhetskapacitet som du måste uppfylla.
Detta kräver:
För att uppfylla dessa krav granskar reglerade enheter vanligen huruvida resurserna är tillräckliga, inklusive finansiering och personalresurser och snabb tillgång till nödvändiga kompetenser.
Enheter som regleras av APRA måste upprätthålla en policy för informationssäkerhet som återspeglar deras exponering för sårbarheter och hot. Ansvaret för alla parter som har en skyldighet att upprätthålla informations- och datasäkerhet bör styras av din organisations policy.
Ramverket är vanligtvis uppbyggt som en hierarki med policyer på högre nivå som stöds av riktlinjer och procedurer.
Det finns många gemensamma områden som tas upp i policyramen, såsom:
Detta ramverk skulle vanligtvis vara förenligt med andra enhetsramverk, såsom riskhantering och tjänsteleverantörshantering.
Ta reda på hur enkelt det är att hantera din
överensstämmelse med APRA-standarder på ISMS.online
Boka din demo
APRA-reglerade enheter är skyldiga att klassificera informationstillgångar, inklusive sådana som förvaltas av närstående parter och tredje parter.
Detta inkluderar infrastruktur och kringsystem, såsom miljökontrollsystem och fysiska passersystem. Det omfattar även informationstillgångar som hanteras av tredje part eller närstående.
Relationerna mellan känsliga eller kritiska informationstillgångar och andra tillgångar som kan ha mindre betydelse men som kan användas för att bryta mot säkerheten för dessa tillgångar.
Dessutom bör detta återspegla i vilken utsträckning informationssäkerhetsincidenter har potential att påverka – ekonomiskt eller på annat sätt – en enhet eller dess kunder.
Företag måste ha en klassificeringsmetod för att märka vad som utgör en informationstillgång för att säkerställa att intressenter är informerade och medvetna. Denna metod ger också sammanhang om granularitetsöverväganden och hur tillgångar klassificeras beroende på deras kritikalitet eller känslighet. Observera att tillgångar kan ges olika betyg för kritikalitet och känslighet.
Det är vanligt att företag utnyttjar sina befintliga konsekvensanalyser för affärskontinuitet – som vanligtvis bedömer kritikalitet och andra känsliga processer – för att utföra känslighetsanalysen.
För att följa CPS 234 måste APRA-reglerade enheter implementera informationssäkerhetskontroller för att skydda sina datatillgångar omedelbart och proportionellt mot hotet som de står inför, motsvarande:
Enligt CPS 234 måste alla APRA-reglerade enheter ha robusta mekanismer för att upptäcka och reagera på informationssäkerhetsincidenter så snart som möjligt.
Det finns många detekteringsmekanismer för informationssäkerhet, inklusive skannings-, avkännings-, övervaknings- och loggningslösningar. Dessa säkerhetskontroller kommer att vara mer robusta och mer varierade beroende på effekterna av en potentiell säkerhetsincident, vanligtvis täcker dessa breda kategorier:
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
CPS 234 kräver att reglerade enheter utför systematiska tester av informationssäkerhetskontroller av en karaktär och frekvens som motsvarar:
Säkerhetskontroller måste testas minst årligen eller närhelst det sker en väsentlig förändring i informationstillgångar eller affärsmiljön så att du kan veta om de fortfarande är effektiva och giltiga. För att säkerställa att testerna är framgångsrika är det viktigt att tydligt definiera kriterierna för framgång och när omtestning kommer att behövas.
Testning bör göras av lämpligt skickliga, oberoende specialister som inte har några intressekonflikter och som kan ge en rättvis utvärdering.
Tillförlitlig informationssäkerhetskontroll måste tillhandahållas av kunnig personal. Dessutom måste internrevisionsfunktionen bedöma den informationssäkerhetskontroll som tillhandahålls av närstående eller tredje parter i fall där:
Om bedömningen visar på en brist eller om det inte finns någon garanti för att kraven uppfylls tas frågan vanligen upp med styrelsen för prövning.
APRA måste informeras så snart som möjligt och senast 72 timmar efter att enheten har fått kännedom om en säkerhetsincident.
Det här är incidenter som:
När de underrättar APRA förväntar de sig att information lämnas, till exempel:
APRA ska informeras så snart som möjligt och senast tio arbetsdagar efter att du får kännedom om en svaghet i informationssäkerhetskontrollen som företaget inte kan åtgärda i tid.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
En viktig skillnad mellan de två standarderna är hur de tillämpas. Organisationer som uppnår ISO 27001-certifiering måste förnya sin certifiering vart tredje år, med regelbundna övervakningsrevisioner under denna period. CPS 234 har inget certifikat; istället har APRA många formella och informella verkställighetsverktyg.
Icke-formella tillvägagångssätt inkluderar att arbeta med företag för att identifiera och ta itu med problem innan de hotar deras förmåga att uppfylla sina löften.
Ändå är APRA beredd att vidta verkställighetsåtgärder när så är lämpligt – detta kan inkludera domstolsbaserade åtgärder eller instruera företag att vidta eller stoppa särskilda åtgärder.
Även om ISO 27001 är erkänt globalt, skapade APRA CPS 234-standarden för att möta det växande behovet av cybersäkerhet bland enheter inom finansbranschen. ISO 27001 är en mycket mer omfattande informationssäkerhetsstandard och den gäller för företag inom olika sektorer oavsett storlek, typ eller plats.
CPS 234 skapades för att fungera unisont med ISO/IEC 27001, med krav i linje med klausuler och säkerhetskontroller som beskrivs i ISO 27001. Båda standarderna är utformade för att öka en organisations informationssäkerhet. Alla företag eller organisationer som är ISO 27001-ackrediterade bör ha lättare att uppfylla CPS 234-kraven.
Som du kan se finns det mycket att göra för att säkerställa efterlevnad. Det mest hanterbara kravet att uppfylla är att se till att all cybersäkerhetspersonal har tydligt definierade, formulerade och kommunicerade ansvarsområden i hela organisationen.
En av de största utmaningarna för efterlevnad av CPS 234 kan potentiellt vara bristen på riktlinjer och praktisk tillämpning när det kommer till tredje part.
Vår plattform kommer med olika förbyggda ramverk som du kan anta, anpassa eller lägga till, beroende på din organisations unika behov. Eller så kan du enkelt bygga din egen för skräddarsydda efterlevnadsprojekt.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo